Linux

Настройка SFTP доступа

• Recluse
• 12.04.2016
• 55 126
• 9
• 18.03.2019
• 8
• 7
• 1

• Содержание статьи
  • Создание пользователя для SFTP
  • Настройка сервера SSH
  • Настройка директорий для пользователя SFTP
  • Частые ошибки
  • Комментарии к статье ( 9 шт )
  • Добавить комментарий

Если по какой-то причине потребовалось дать удаленный доступ к файлам на компьютер под управлением операционной системы из семейства Linux, то безопаснее всего будет это сделать через SFTP. SFTP обозначает SSH File Transfer Protocol, и не имеет никакого отношения к обычному FTP протоколу, а так же в разы безопаснее. Однако, приступим к настройке.

Опубликованные ниже манипуляции проводились с операционной системой Debian 7.

Создание пользователя для SFTP

Создаем нового пользователя:

useradd -m -s /sbin/nologin crazyadmin

-m - указывает необходимость создать домашнюю директорию пользователя в каталоге /home;
-s - задает оболочку пользователя - /sbin/nologin запрещает пользователю использовать shell.
crazyadmin - имя пользователя

Устанавливаем созданному пользователю пароль:

passwd crazyadmin

Если что-то пошло не так, то всегда можно удалить пользователя командой userdel username, например:

userdel crazyadmin

И создадим для нового пользователя папку chroot, о её предназначении будет рассказано ниже.

mkdir /home/crazysadmin/chroot

Настройка сервера SSH

Теперь отправляемся в конфиг SSH - /etc/ssh/sshd_config

Ищем следующую строчку:

Subsystem sftp /usr/lib/openssh/sftp-server

и меняем на

Subsystem sftp internal-sftp

Теперь отправляемся в самый конец конфига, и там дописываем:

Match User crazyadmin
        X11Forwarding no
        AllowTcpForwarding no
        AllowAgentForwarding no
        PermitTunnel no
        ForceCommand internal-sftp
        ChrootDirectory %h/chroot

ChrootDirectory - родительский каталог той папки, к которой мы хотим открыть доступ по SFTP. В данном примере используется директория chroot, которая лежит в папке пользователя.

Если на вашем сервере настроен доступ по SSH только через файл ключа, а нужно сделать возможность заходить по паролю, то тогда дописываем еще следующее:

PasswordAuthentication yes

Если на сервере установлен метод авторизации по паролю, а есть желание сделать более надежную авторизацию через файл ключа, то можно воспользоваться данной статьей.

После завершения всех манипуляций с SSH сервером, его нужно перезагрузить:

service ssh restart

Настройка директорий для пользователя SFTP

Отправляемся в директорию /home и там ищем папку свежесозданного пользователя, а в ней папку chroot. Устанавливаем её владельцем пользователя root:

chown root:root /home/crazyadmin/chroot

Устанавливаем нужные права на папку:

chmod 755 /home/crazyadmin

Внимание! Ни в коем случае не следует выставлять ChrootDirectory какие-либо другие права, в таком случае будет выскакивать следующая ошибка: fatal: bad ownership or modes for chroot directory component.

Теперь представим, что нам нужно предоставить доступ к нескольким папкам, и они все лежат за пределами ChrootDirectory. Выход из ситуации следующий:

Допустим нам нужно разрешить доступ к папке /var/www/sysadmin.ru. Создаем в домашнем каталоге пользотвателя /home/crazyadmin папку с названием sysadmin.ru.

mkdir /home/crazyadmin/sysadmin.ru

Теперь смонтируем в эту папку ту директорию, доступ к которой нам нужно обеспечить:

mount --bind /var/www/pc.ru/ /home/crazyadmin/pc.ru/chroot

Выставляем необходимые для редактирования права для нашей директории /var/www/sysadmin.ru:

chmod 777 /var/www/sysadmin.ru
find /var/www/sysadmin.ru -type f -exec chmod 664 {} +
find /var/www/sysadmin.ru -type d -exec chmod 777 {} +

Если в процессе монтирования директории что-то пошло не так, то можно убрать монтирование командой unmount:

umount /home/crazysyadmin/sysadmin.ru

На этом настройка SFTP сервера завершена.

Частые ошибки

• fatal: bad ownership or modes for chroot directory component - как писалось выше, данная ошибка появляется тогда, когда владельцем ChrootDirectory является не пользователь root, и права не равны 755.
• No supported authentication methods available (server sent public key) - сервер настроен на авторизацию по ключу. Если нужна авторизация по паролю, то в конфиге /etc/ssh/sshd_config нужно поменять значение у переменной PasswordAuthentication с no на yes, а после перезапустить сервер командой service ssh restart.

Была ли эта статья Вам полезна?

---

Да Нет

---

Что в статье не так? Пожалуйста, помогите нам её улучшить!

0 символов

Отправить сообщение

Комментарии к статье (9)

• • Sergey
  • 30.07.2019 21:54

  Такая же ошибка как у Сергея, под crazyadmin не хочет подключатся, а под root сразу заходит.

  Команда: open "crazyadmin@192.168.1.50" 22
  Команда: Pass: *****
  Ошибка: Network error: Software caused connection abort
  Ошибка: Невозможно подключиться к серверу
  Статус: Отключен от сервера
  Статус: Соединяюсь с 192.168.1.50...
  Статус: Connected to 192.168.1.50
  Статус: Получение списка каталогов...
  Статус: Listing directory /root
  Статус: Список каталогов "/root" извлечен

  OpenSSH сервер обновлен, Iptables и антивирус отключены. Проверял на FileZilla и на WinSCP.

  • • Дмитрий
    • 17.01.2020 00:08

    Статья видимо утратила актуальность, либо подходит для конкретного дистрибутива.
    Мне нужно было на oracle linux настроить и начал с этой статьи, в итоге мучался с тем как всё исправить потом.
    Так вот. Более толково написано здесь https://wiki.enchtex.info/howto/ssh_sftp.
    Проверенно:
    - юзера нужно делать командой useradd -d /dev/null -M -s /bin/bash user
    Иначе ssh не работает для него нормально. Если Вы накуралесили как я, то поможет команда usermod -s /bin/bash user (вместо user имя Вашего пользователя).
    - команда рестарта ssh для Oracle Linux имеет вид service sshd restart
    - Чтобы можно было подключиться через winscp Вашим пользователем - нужно в файл /etc/ssh/sshd_config вписать как указано ниже слово в слово. Даже если имя пользователя другое - строка "Match User user" должна быть без изменений (получено методом ошибок).

    Subsystem sftp internal-sftp

    Match User user
    X11Forwarding no
    AllowTcpForwarding no
    AllowAgentForwarding no
    PermitTunnel no
    ForceCommand internal-sftp
    ChrootDirectory /home

    • • Егор
      • 10.11.2020 10:18

      Если домашний каталог пользователя указать в /dev/null, то невозможно будет сделать авторизацию по ключам, так как негде будет их хранить. Все прекрасно работает и любой нормальном папкой в качестве домашнего каталога, важно чтобы владелец его был root:root и права записи были только у него (750 или 755 на ваш выбор).

• • dramaqueen
  • 29.07.2019 13:11

  При подключении вот такое в filezilla:
  Статус: Соединяюсь с xxx...
  Ответ: fzSftp started, protocol_version=8
  Команда: open "dmitry@xxx" 22
  Команда: Pass: **********
  Ошибка: Server unexpectedly closed network connection
  Ошибка: Невозможно подключиться к серверу

  • • Recluse
    • 29.07.2019 17:52

    На ум приходит несколько вариантов:

    • Старая версия OpenSSH сервера, попробуйте узнать её с помощью команды sshd -V. Если версия ниже 6.3p1, то вам нужно обновить OpenSSH сервер.
    • Что-то обрывает связь между Вами и сервером (антивирус, фаирволл у клиента или сервера).
• • Сергей
  • 22.07.2019 19:50

  Сделал все, как в статье. Но на команду service ssh restart Shell реагирует
  Redirecting to /bin/systemctl start ssh.service
  Failed to start ssh.service: Unit not found.

  И пользователь через WinSCP не может пробиться. И Выдает:
  Authentication log (see session log for details):
  Using username "userSFTP".
  Authentication failed.
  The server rejected SFTP connection, but it listens for FTP connections.
  Did you want to use FTP protocol instead of SFTP? Prefer using encryption.

  Причем, пользователь root заходит без проблем.

  • • Recluse
    • 22.07.2019 20:50

    По поводу не рабочей команды service ssh restart - какой у вас дистрибютив Linux? Попробуйте команду systemctl restart ssh.

    По поводу авторизации - а Вы уверены, что у вас пользователь действительно зовется userSFTP? По умолчанию, Linux не дает использовать заглавные буквы в имени пользователя, убедитесь в правильности его имени и вообще существования в системе.

• • Carambe
  • 02.03.2018 09:53

  Ребята, подскажите пожалуйста в чем может быть проблема.
  Конфигурация:
  Port 22
  Protocol 2
  HostKey /etc/ssh/ssh_host_rsa_key
  HostKey /etc/ssh/ssh_host_dsa_key
  HostKey /etc/ssh/ssh_host_ecdsa_key
  HostKey /etc/ssh/ssh_host_ed25519_key
  UsePrivilegeSeparation yes

  KeyRegenerationInterval 3600
  ServerKeyBits 1024

  SyslogFacility AUTH
  LogLevel INFO

  LoginGraceTime 120
  PermitRootLogin no
  StrictModes yes

  RSAAuthentication yes
  PubkeyAuthentication yes

  IgnoreRhosts yes
  RhostsRSAAuthentication no
  HostbasedAuthentication no

  PermitEmptyPasswords no

  ChallengeResponseAuthentication no

  X11Forwarding yes
  X11DisplayOffset 10
  PrintMotd no
  PrintLastLog yes
  TCPKeepAlive yes

  AcceptEnv LANG LC_*

  Subsystem sftp internal-sftp

  UsePAM yes

  Match User testuser
  X11Forwarding no
  AllowTcpForwarding no
  AllowAgentForwarding no
  PermitTunnel no
  ForceCommand internal-sftp
  ChrootDirectory %h/chroot

  (/home/testuser - root:root; /home/testuser/chroot - testuser:testuser)

  1. В параметре MatchUser - работает, только если указывать группу, а не пользователя. Если прописывать параметр MatchGroup - то не работает.
  2. При подключении вижу все корневые папки.

  • • Recluse
    • 02.03.2018 19:26

    В логах есть что-нибудь, какие-нибудь ошибки?

    И как минимум я вижу, что у /home/testuser владельцем должен быть testuser, а у /home/testuser/chroot владельцем должен быть root:root.